À propos de DependabotGitHub Enterprise Server
Dependabot aide les utilisateurs à trouver et à corriger les vulnérabilités dans leurs dépendances. Vous devez d’abord configurer Dependabot votre entreprise, puis vous pouvez permettre Dependabot alerts d’avertir les utilisateurs des dépendances vulnérables et Dependabot updates de corriger les vulnérabilités et de maintenir les dépendances mises à jour vers la dernière version.
Dependabot n’est qu’une des nombreuses fonctionnalités disponibles pour renforcer la sécurité de la chaîne d’approvisionnement pour GitHub. Pour plus d’informations sur les autres fonctionnalités, consultez « Sécurité de la chaîne logistique pour votre entreprise ».
À propos de Dependabot alerts
Avec Dependabot alerts, GitHub identifie les dépendances non sécurisées dans les référentiels et crée des alertes dans GitHub Enterprise Server, à l’aide de données provenant de GitHub Advisory Database et du service de graphe des dépendances.
Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :
- Avis de sécurité signalés sur GitHub
- Base de données nationale des vulnérabilités (NVD) américaine
- Base de données npm Security advisories
- Base de données FriendsOfPHP
- Base de données Go Vulncheck
- Base de données Python Packaging Advisory
- Base de données Ruby Advisory
- Base de données RustSec Advisory
- Contributions de la communauté. Pour plus d’informations, consultez https://github.com/github/advisory-database/pulls.
Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.
Une fois que vous avez configuré Dependabot pour votre entreprise, les données sur les vulnérabilités sont synchronisées depuis GitHub Advisory Database vers votre instance une fois par heure. Seuls les avis GitHubexaminés sont synchronisés. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Vous pouvez aussi choisir de synchroniser manuellement les données de vulnérabilité à n’importe quel moment. Pour plus d’informations, consultez « Consultation des données de vulnérabilité de votre entreprise ».
Remarque
Lorsque vous activez Dependabot alerts, aucun code ni aucune information sur le code provenant de GitHub Enterprise Server n’est téléversé vers GitHub.com ou GHE.com.
Lorsqu’il GitHub Enterprise Server reçoit des informations sur une vulnérabilité, il identifie les référentiels qui utilisent la version affectée de la dépendance et génère Dependabot alerts. Vous pouvez choisir de notifier ou non automatiquement les utilisateurs des nouveaux Dependabot alerts.
Pour les dépôts avec Dependabot alerts activé, l’analyse est déclenchée à chaque push vers la branche par défaut contenant un fichier manifeste ou un fichier de verrouillage. En outre, lorsqu’un nouvel enregistrement de vulnérabilité est ajouté, GitHub Enterprise Server analyse tous les référentiels existants et génère des alertes pour tous les référentiels vulnérables. Pour plus d’informations, consultez « Alertes Dependabot ».
À propos de Dependabot updates
Une fois que vous avez activé Dependabot alerts, vous pouvez choisir d’activer Dependabot updates. Lorsque Dependabot updates sont activés pour GitHub Enterprise Server, les utilisateurs peuvent configurer des référentiels afin que leurs dépendances soient mises à jour et maintenues sécurisées automatiquement.
Remarque
Dependabot updates sur GitHub Enterprise Server nécessite GitHub Actions avec des exécuteurs auto-hébergés.
Par défaut, les runners GitHub Actions utilisés par Dependabot ont besoin d’un accès à Internet pour télécharger des paquets mis à jour depuis les dépôts des gestionnaires de paquets en amont. Pour Dependabot updates optimisé par GitHub Connect, l’accès à Internet fournit à vos exécuteurs un jeton qui permet d’accéder aux dépendances et aux avis de sécurité hébergés sur GitHub.com.
Vous pouvez activer Dependabot updates pour certains registres privés sur des instances GitHub Enterprise Server avec un accès limité, voire inexistant, à Internet. Pour plus d’informations, consultez « Configuration de Dependabot pour fonctionner avec un accès Internet limité ».
Avec Dependabot updates, GitHub crée automatiquement des pull requests pour mettre à jour les dépendances de deux façons.
- Dependabot version updates: Les utilisateurs ajoutent un fichier de configuration Dependabot au dépôt pour que Dependabot crée des pull requests lorsqu’une nouvelle version d’une dépendance surveillée est publiée. Pour plus d’informations, consultez « Mises à jour des versions Dependabot ».
- Dependabot security updates: Les utilisateurs activent un paramètre du dépôt pour permettre à Dependabot de créer des pull requests lorsque GitHub détecte une vulnérabilité dans l’une des dépendances du graphe de dépendances du dépôt. Pour plus d’informations, consultez « Alertes Dependabot » et « Mises à jour de sécurité Dependabot ».
Activation de Dependabot alerts
Avant de pouvoir activer Dependabot alerts, vous devez d’abord configurer Dependabot pour votre entreprise :
- Vous devez activer GitHub Connect. Pour plus d’informations, consultez « Activation de GitHub Connect pour GitHub.com ».
- Vous devez activer le graphe de dépendances. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise ».
-
Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
En haut de la page, cliquez sur GitHub Connect.
-
Dans « Dependabot », à droite de « Télécharger régulièrement les GitHub Advisory Database afin que les utilisateurs puissent recevoir des alertes de vulnérabilité pour les dépendances de code open source », sélectionnez le menu déroulant, puis cliquez sur Activé sans notification. Si vous le souhaitez, vous pouvez activer les alertes avec des notifications en cliquant sur Activé avec notifications.

Remarque
Ce paramètre contrôle uniquement les notifications web et par e-mail en temps réel. Les avertissements de l’interface de ligne de commande (CLI) et les résumés par e-mail sont toujours livrés, quelle que soit l’option sélectionnée.
Conseil
Nous vous recommandons de configurer Dependabot alerts sans notifications pendant les premiers jours pour éviter une surcharge de notifications en temps réel. Après quelques jours, vous pouvez activer les notifications pour recevoir Dependabot alerts comme d’habitude.
Vous pouvez désormais activer Dependabot alerts pour tous les dépôts privés et internes, existants ou nouveaux, sur la page des paramètres de l’entreprise pour « Advanced Security Code security ». Vous pouvez également activer Dependabot alerts pour chaque dépôt et chaque organisation en tant qu’administrateur de dépôt ou propriétaire d’organisation. Les dépôts publics sont toujours activés par défaut. Pour plus d’informations, consultez « Configuration d’alertes Dependabot ».
Activation de Dependabot updates
Avant de pouvoir activer Dependabot updates:
- Vous devez activer Dependabot alerts pour votre entreprise. Pour plus d’informations, consultez « Activation Dependabot alerts» ci-dessus.
- TLS doit être activée. Dependabot updates s’exécute sur des exécuteurs auto-hébergés, sur lesquels TLS doit être activé. Pour plus d’informations, consultez « Bien démarrer avec les exécuteurs auto-hébergés pour votre entreprise ».
- Vous devez configurer GitHub Enterprise Server pour utiliser GitHub Actions avec des exécuteurs auto-hébergés. Pour plus d’informations, consultez « Prise en main de GitHub Actions pour GitHub Enterprise Server ».
Dependabot updates ne sont pas pris en charge sur GitHub Enterprise Server si votre entreprise met en œuvre le clustering.
Remarque
Après avoir activé le graphique de dépendances, vous pouvez utiliser l’actionDependabot. L’action génère une erreur si des vulnérabilités ou des licences non valides sont introduites. Pour plus d’informations sur l’action et pour obtenir des instructions sur le téléchargement de la version la plus récente, consultez Utilisation de la dernière version des actions groupées officielles.
-
Connectez-vous à votre instance GitHub Enterprise Server à l’adresse
http(s)://HOSTNAME/login. -
À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
-
Dans la barre latérale « Site admin », cliquez sur Console de gestion.
-
Dans la barre latérale « Paramètres », cliquez sur Sécurité.
-
Sous « Sécurité », sélectionnez Dependabot updates.
-
Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.
Remarque
L’enregistrement des paramètres dans la Console de gestion redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.
-
Attendez la fin de l’exécution de la configuration.
-
Cliquez sur Accéder à votre instance.
-
Configurez des runners auto-hébergés dédiés pour créer les pull requests qui mettront à jour les dépendances. C’est obligatoire parce que les workflows utilisent une étiquette d’exécuteur spécifique. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les mises à jour Dependabot dans votre entreprise ».
-
Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
En haut de la page, cliquez sur GitHub Connect.
-
Sous «Dependabot », à droite de « Les utilisateurs peuvent facilement effectuer une mise à niveau vers des dépendances de code non vulnérables open source », cliquez sur Activer.
Lorsque vous activez Dependabot alerts, vous devez également envisager de configurer GitHub Actions pour Dependabot security updates. Cette fonctionnalité permet aux développeurs de corriger les vulnérabilités dans leurs dépendances. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les mises à jour Dependabot dans votre entreprise ».
Si vous avez besoin d’une sécurité renforcée, nous vous recommandons de configurer Dependabot pour utiliser des registres privés. Pour plus d’informations, consultez « Configuration de l’accès aux registres privés pour Dependabot ».